Unknown · Absinthe Plug · CVE-2026-42794
**Nome do Software Vulnerável e Versões Afetadas**
absinthe plug versões 1.2.0 a 1.10.1
**Descrição**
O cross-site scripting refletido é possível através da interface GraphiQL. A função `js escape/1` em `lib/absinthe/plug/graphiql.ex` não escapa barras invertidas ao processar o parâmetro GET `query` antes de incorporá-lo em uma string JavaScript inline. Um invasor pode burlar a filtragem de aspas simples e novas linhas prefixando uma aspa com uma barra invertida, permitindo a execução de JavaScript arbitrário no navegador da vítima.
**Recomendações**
Atualizar para a versão 1.10.2.